windows2008服务器安全初级配置

1、所有磁盘格式转换为NTFS格式

2、微软最新补丁

3、所有盘符根目录只给system和Administrator的权限，其他的删除

4、关闭光盘和磁盘的自动播放功能

控制面板，自动播放，取消勾选，保存。 
点击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“Windows组件”，在右侧窗口找到“自动播放策略”选项并打开，双击右侧关闭自动播放，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。 

5、删除系统默认共享。
可以使用 net share 命令查看，并全部删除默认共享
net share c$ /del  net share d$ /del  net share e$ /del  net share f$ /del  net share ipc$ /del  net share admin$ /del  
也可以在“服务”中直接禁用“server”服务。  

直修改注册表的方法
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer  ，值为0，重启电脑

6、重命名帐户Administrator和Guest。禁用Guest账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。
      禁用SQLDebugger帐号。    
      重命名管理员用户组Administrators 

7、禁用不必要的服务。
      控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。  

TCP/IP NetBIOS Helper Server  

Distributed Link Tracking Client 

Microsoft Search 

Print Spooler                 

Remote Registry 

Workstation

Server

8、只开启需要用的端口，关闭不必要的，以减少攻击面。 80：IIS7 21：FTP 3389：远程 3306：Mysql 1433：Mssql 用不到的端口一律不要开启

9、下列系统程序都只给管理员权限，别的全部删除。 

arp.exe 

attrib.exe 

cmd.exe 

format.com 

ftp.exe 

tftp.exe 

net.exe 

net1.exe 

netstat.exe 

ping.exe 

regedit.exe 

regsvr32.exe 

telnet.exe 

xcopy.exe 

at.exe  

所有的*.cpl和*.msc文件也只给管理员权限。

10、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败 

11、本地策略——>用户权限分配
关闭系统：只有Administrators 组、其它的全部删除。
通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除      在组策略中，计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

12、本地策略——>安全选项
交互式登陆：不显示最后的用户名 启用
网络访问：不允许SAM 帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
网络访问：可远程访问的注册表路径 全部删除
网络访问：可远程访问的注册表路径和子路径 全部删除

13、站点方件夹安全属性设置
一般给站点目录权限为：
System 完全控制
Administrator 完全控制
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射

14、打开Windows 高级防火墙

15、安装一款杀毒软件，推荐Mcafee，再配合Windows 防火墙，它们俩应该是一个不错的组合